
Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer
De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.
Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?
We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.
En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?
Podcast | Bart Schermer: ‘Met de huidige aanpak van cybercrime lossen we de problemen uit 2017 op’
Amper toezicht op inzet van massa-surveillance tools door inlichtingendiensten
Zorgen over surveillancestaat weerhouden regering niet van invoering digitale bewijspas
De politie belazerde computercriminelen – begrijpelijk, maar mag dat wel?
‘Tijd om het gevecht met de tech-reuzen aan te gaan,’ zegt econoom Tommaso Valletti
PvdA-prominent verzwijgt belang in armoede-app bij promopraatjes
Woekerwinsten voor uitgevers van wetenschappelijke tijdschriften, ondanks nieuwe regels
‘Door gebrek aan toezicht gaan overheidsinstanties soms te ver bij het verzamelen van inlichtingen’
De politie vraagt opvallend vaak gegevens op van toeslagenouders, maar kan niet zeggen waarom
KPN vecht voor nieuw monopolie, de toezichthouder helpt mee
© Follow the Money
Overheid schaadt burgers met principieel ‘nee’ tegen digitale afpersing
Ransomware, kwaadaardige software waarmee criminelen digitale gegevens gijzelen, is een explosief probleem. Uit principe weigert de overheid afpersers losgeld te betalen. Dat klinkt stoer, maar blijkt een gevaarlijke strategie. Sinds een recente aanval op de gemeente Buren liggen van inwoners financiële gegevens, en informatie over drugs- en psychische problemen, op straat.
- Ransomware, software waarmee criminelen computernetwerken gijzelen, is een groeiend probleem voor bedrijven en overheden. Weigeren die losgeld te betalen, dan verkopen de daders de gestolen gegevens door. Of ze zetten ze op het dark web, een deel van het internet waarvoor een speciale browser nodig is. Daar kunnen andere criminelen grasduinen in buitgemaakte persoonlijke gegevens en die gebruiken voor identiteitsfraude en afpersing.
- Overheden en instellingen als scholen en universiteiten volgen doorgaans de lijn van de landelijke overheid: er wordt geen losgeld betaald aan criminelen. Op papier lijkt dat een logische redenering, maar volgens deskundigen schieten overheidsinstellingen tekort in hun zorgplicht. Want de burger loopt niet alleen het risico dat gevoelige privé-informatie openbaar wordt; hij kan vervolgens ook zelf weer ten prooi vallen aan oplichters.
- Experts noemen de harde lijn – geen zakendoen met criminelen – daarom gevaarlijk. Daar komt bij dat het aantal cyberaanvallen op overheden en overheidsinstellingen jaarlijks toeneemt, terwijl hun computernetwerken vaak slecht zijn beveiligd.
- Follow the Money verkreeg via een specialist in cyberveiligheid de gegevens die hackers van het netwerk van de gemeente Buren onlangs online zetten. Die laten goed zien hoe kwetsbaar privacy is. Van honderden inwoners ligt gevoelige informatie voor criminelen voor het grijpen. Volgens specialisten heeft het er bovendien ‘alle schijn van’ dat Buren haar digitale beveiliging niet op orde had. De data waarover we konden beschikken is overigens onmiddellijk na ons onderzoek vernietigd.
Een ouder vraagt hulp voor een drugsverslaafd kind, een ondernemer gaat zakelijk en persoonlijk failliet door een manisch-depressieve stoornis, een moeder krijgt geen informatie over haar kind vanwege een familievete, de schuldhulpverlening biedt een uitgebreid overzicht van iemands financiële problemen, inclusief diens afbetalingsregelingen met online-warenhuizen.
Van minstens tientallen inwoners van de gemeente Buren in de Betuwe staat dit soort intieme informatie online – met naam, toenaam, adressen en telefoonnummers. En van honderden burgers zijn kopieën van paspoorten, burgerservicenummers, naw-gegevens en inkomensgegevens op het internet terechtgekomen.
Buren werd op 1 april 2022 getroffen door een aanval met ransomware. Een internationaal opererende bende drong binnen op de digitale systemen en gijzelde die door ze te versleutelen. De systemen waren volgens de gemeente alweer snel operationeel, maar de cybercriminelen maakten in totaal wel de duizelingwekkende hoeveelheid van vijf terabytes aan data buit.
Met een voorproefje wekken de aanvallers interesse bij potentiële kopers en zetten ze de gemeente onder druk
De gemeente weigerde losgeld te betalen, zo bevestigde een woordvoerder desgevraagd. Daarna zetten de aanvallers 130 gigabytes – meer dan 750 duizend bestanden – aan gejatte data op het dark web, het deel van het internet dat niet direct vindbaar is.
Die 130 gigabyte is slechts een sample: een voorproefje waarmee de aanvallers bij potentiële kopers interesse willen wekken voor de hele dataset, en waarmee ze de gemeente onder druk zetten alsnog te betalen. Doet de gemeente dat niet, dan bestaat de mogelijkheid dat de rest ook online gaat, of wordt doorverkocht. Dat zijn nog eens bijna 30 miljoen bestanden.
Kroeglogica
Gezien de gevoeligheid van de informatie zou je verwachten dat de schrik er goed inzit bij de burgers van Buren. Dat blijkt helemaal niet het geval in de dorpskroeg van Zoelen, een dorp op enkele kilometers van Tiel.
Terwijl vier mannen de twee biljarttafels innemen en nummers van Helene Fischer en Rob de Nijs op skihut-beat klinken, halen bezoekers en de barman hun schouders erover op. ‘Ik heb er niks over gehoord. Maar ik lees het lokale krantje ook niet,’ zegt de barman.
Een van de bezoekers kent iemand die na de aanval zijn paspoort moest laten vervangen. ‘Binnen zes weken, want de huidige zou dan zijn verlopen. Het werd vergoed door de gemeente, zowaar.’
Dat de gemeente weigerde de hackers te betalen, vinden ze in het café allemaal terecht. ‘Anders blijft het aan de gang.’
‘Het is geen ramp, als iemand hier een drugsverslaafd kind heeft is dat toch al bekend’
Dat gevoelige informatie nu op straat ligt, is vervelend maar geen ramp, zegt een van de biljartende mannen. ‘Het klinkt wellicht raar voor een buitenstaander, maar hier kent iedereen elkaar, en is alles publiek geheim. Als iemand een drugsverslaafd kind heeft, is dat in de wijde omtrek toch al bekend.’
Het is een soort kroeglogica waartegen weinig in te brengen valt. Overigens was de hack al breed bekend in de dorpen voordat de gemeente die officieel naar buiten bracht, aldus de biljarter.
We fietsen verder naar Maurik, het grootste dorp van de gemeente. Het tiental mensen dat we aanspreken weet niets van de aanval, of herinnert zich vaag een brief van de gemeente te hebben gekregen, of heeft er op internet iets over gelezen. ‘Ik zag het op Nu.nl en gooide het in onze groepsapp,’ vertelt een twintiger die gras maait op het erf van een agrarisch familiebedrijf buiten Maurik. ‘Maar sindsdien heb ik er niemand meer over gehoord.’
Heel veel voorlichting heeft Buren niet verstrekt, valt op te maken uit ons rondje. De woordvoerder van de gemeente denkt daar anders over: ‘Wij nemen onze verantwoordelijkheid door in de eerste plaats transparant te communiceren naar inwoners.’
Explosieve informatie
Op het dark web is het proefmonster van 130 gigabyte lastig te vinden, maar wie verstand van zaken en geduld heeft, kan eraan komen.
Follow the Money kreeg de sample in handen via een bezorgde specialist in digitale veiligheid. Deze persoon zegt het belangrijk te vinden dat er meer aandacht komt voor dit onderwerp: ‘Het verbaast me nogal dat ik nergens iets kan lezen over de inhoud van de gelekte documenten, terwijl die toch behoorlijk explosief is.’
De specialist en Follow the Money hebben er niet voor betaald, de sample is gratis voor wie hem kan vinden. Drie redacteuren hebben de gegevens in beslotenheid – en gezien de omvang redelijk beperkt – bekeken. Informatie die relevant zou kunnen zijn voor andere dossiers van Follow the Money is niet met collega’s gedeeld. Alle data waarover we beschikten zijn inmiddels vernietigd.
Dat er privégegevens online staan is niet alleen vervelend of pijnlijk – het kan ook gevaarlijk zijn
We hebben enkele mensen van wie gevoelige informatie online staat via e-mail benaderd. Een persoon reageerde daarop: ‘Nee ik had tot op heden geen last van het lek. Ik heb een brief gehad van de gemeente en ik heb erover gelezen in het huis-aan-huiskrantje, dus ik wist van het bestaan van het lek. Ik dacht: het hoort erbij. Je hoort ook over inbraken bij de CIA of het Pentagon. Dat de Tozo-aanvraag van mijn partner online stond, wist ik niet. Ik vind het hoogst kwalijk dat inkomensgegevens van mij en mijn partner te vinden zijn. Je weet niet wat dat voor gevolgen kan hebben.’
Deze Burense burger maakt zich terecht zorgen. Dat er gegevens online staan die iemand niet per se met zijn buren wil delen, is niet alleen vervelend of pijnlijk. Het kan ook gevaarlijk zijn. Het grootste risico is dat kwaadwillenden burgerservicenummers, identiteitsbewijzen, naw-gegevens en geboortedata gebruiken voor identiteitsfraude, of voor gerichte phishing-aanvallen om mensen geld afhandig te maken.
De Autoriteit Persoonsgegevens (AP) waarschuwde er in mei in haar Jaarrapportage meldplicht datalekken 2021 voor dat persoonsgegevens kunnen worden verhandeld, al dan niet verrijkt met gegevens uit andere databestanden. Waarna criminelen ze gebruiken in spamlijsten, of in zogeheten brute force-aanvallen om toegang te krijgen tot gebruikersaccounts bij bijvoorbeeld banken, webshops en overheden.
‘Niet onderhandelen met criminelen’
De gemeente Buren vindt dat cybercriminelen geen losgeld mogen ontvangen, net als de meeste inwoners van Zoelen en Maurik die we spraken. Burgemeester Josan Meijers ging ook na de publicatie van de 130 gigabyte op het dark web niet alsnog overstag, vertelde zij aan de website Binnenlands Bestuur: ‘Wij onderhandelen niet met criminelen’.
Dat standpunt verwoordde ook Ingrid van Engelshoven, de toenmalige minister van Onderwijs, Cultuur en Wetenschap, na een aanval op de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) in februari 2021.
Van Engelshoven schreef de Tweede Kamer toen dat de weigering zaken te doen met boeven paste in een brede strategie, want: ‘de Nederlandse overheid betaalt geen losgeld aan criminelen’.
Volgens de universiteit viel het ‘duivelse dilemma’ tussen wel of niet betalen uit in het voordeel van de gijzelnemers
De meeste publieke instellingen houden zich aan deze lijn, zoals de Veiligheidsregio Noord- en Oost-Gelderland (VNOG) bij een aanval in september 2020, de gemeente Hof van Twente in december 2020, en het ROC Mondriaan in Den Haag in september 2021. In geen van die gevallen werd er volgens de instellingen betaald. Ook niet wanneer de aanvallers gevoelige data op het dark web publiceerden, wat ze deden met gegevens van de NWO en het Haagse ROC.
De enige bekende uitzondering is Maastricht University, die in 2019 bijna 2 ton afrekende om gegijzelde data terug te krijgen. Volgens de universiteit viel het ‘duivelse dilemma’ tussen wel of niet betalen uit in het voordeel van de gijzelnemers, in een poging om de ‘belangen van studenten, onderzoekers, werknemers en de universiteit zelf te beschermen’.
De Informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten adviseerde de gemeente Buren om geen losgeld te betalen. Maar, erkent de woordvoerder: ‘Het is een moreel, ethisch, juridisch en financieel dilemma [en] er kunnen situaties ontstaan waarin losgeld de enige keuze is om het voortbestaan van de organisatie of de continuïteit van essentiële diensten te waarborgen.’
Verdienmodel doorkruisen
Behalve uit principe, is er nog een reden waarom de overheid de criminele oorlogskas liever niet spekt. Cybercriminelen investeren uitgekeerd losgeld namelijk vaak in weer nieuwe aanvalsstructuren, constateerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).
Tegelijkertijd becijferde diezelfde NCTV dat de ‘totale kosten voor een organisatie om een ransomware-aanval te boven te komen, zoals gevolgschade of het verlies van kostbare informatie, vaak groter zijn dan het geëiste losgeldbedrag.’ Maar dat brengt de overheid niet van koers. Er wordt niet betaald.
‘De kosten om een ransomware-aanval te boven te komen, zijn vaak groter dan het geëiste losgeld’
Daar zijn ook praktische redenen voor, volgens voormalig minister van Justitie en Veiligheid Ferdinand Grapperhaus. Hij wees er in oktober 2021 op dat de systemen en bestanden die de aanvallers na betaling weer vrijgeven lang niet altijd goed functioneren: ‘in veel gevallen [moet] de hele ICT-infrastructuur alsnog opnieuw moet worden opgebouwd, aangezien deze als gecompromitteerd moet worden beschouwd.’
Bovendien kan volgens Grapperhaus niet worden uitgesloten dat de aanvallers blijven beschikken over de buitgemaakte data. Er is geen garantie dat zij die niet alsnog doorverkopen of openbaar maken, of later ‘opnieuw losgeld eisen’ om publicatie te voorkomen.
De gemeente Buren redeneert hetzelfde, schrijft de woordvoerder: ‘De betaling van losgeld aan criminelen biedt geen garanties op het veiligstellen van data.’
‘Nooit betalen is gevaarlijk’
Toch is er een keerzijde aan het standpunt om nooit te betalen, zeggen meerdere cybersecurity-experts tegen Follow the Money. Als je niet betaalt, maken criminelen de gegijzelde data volgens hen zeker openbaar. Om de druk op het slachtoffer op te voeren, het verdienmodel in stand te houden, of om simpelweg nog iets aan de hack te verdienen.
Het wrange bij data van overheden is dat burgers uiteindelijk de dupe zijn, zegt een cybersecurity-specialist die vanwege zijn functie in het bedrijfsleven anoniem wil blijven. ‘Het harde uitgangspunt om nooit te betalen is gevaarlijk. Als de situatie erom vraagt kun je dat soms beter wel doen. Als je goede back-ups hebt, en je bent geen vertrouwelijke info kwijt, dan hoeft het niet. Anders kun je vaak beter betalen’.
Hij erkent dat je op die manier criminelen financiert. ‘Maar je moet in dit soort situaties de bescherming van burgers op de eerste plaats zetten. Anders ben je veel verder van huis.’
‘Vasthouden aan de harde lijn is onethisch, en makkelijk als het niet om je eigen gegevens gaat’
Cybersecurity-specialist Rickey Gevers, die met zijn bedrijf Responders vaak onderhandelt met ransomware-aanvallers, gaat nog een stap verder: ‘De overheid heeft in dit soort gevallen een zorgplicht. Ze moet er gewoon alles aan doen om te voorkomen dat informatie van burgers openbaar wordt. Ten koste van alles vasthouden aan de harde lijn is wat mij betreft onethisch. Het is makkelijk praten als het niet om je eigen gegevens gaat.’
Privacy-specialist Floor Terra, adviseur bij Privacy Company en voorheen werkzaam bij de Autoriteit Persoonsgegevens, noemt niet betalen ‘een mooi ideaal’. ‘Maar op de lange termijn schrikt die strategie alleen criminelen af als ieder onderdeel van de overheid zich daaraan consequent houdt. Ik geloof niet dat dat realistisch is. Ik kan me heel goed voorstellen dat een gemeente vanwege lokale belangen een andere keuze maakt.’
Ineffectief beleid
Terra is niet de enige die zich hardop afvraagt of de harde lijn van de overheid effectief is. Rickey Gevers: ‘Ransomware-criminelen zijn in de regel opportunisten die op internet zoeken naar kwetsbaarheden. Pas als ze binnen zijn, kijken ze waar ze hebben ingebroken. Ze slaan overheden echt niet over omdat die roepen dat ze niet betalen. Maar intussen liggen wel de gegevens van de inwoners op straat.’
Zijn collega weerspreekt het argument dat betalen überhaupt geen zin heeft: ‘Je kunt nooit uitsluiten dat bendes data achterhouden, doorverkopen of later nog eens terugkomen, maar betaald krijgen is hun businessmodel. In die zin bepaalt de betrouwbaarheid van de bende of andere slachtoffers ook gaan betalen. Als data later uitlekt, of als ze zich niet aan de afspraken houden, betaalt niemand ze meer.’
‘Na betaling vertellen veel bendes welke kwetsbaarheden je organisatie heeft, en krijg je ook nog tips om die te fiksen’
Deze anonieme expert ziet zelfs voordelen: ‘Betalen is vaak veel goedkoper dan herstellen. Bovendien vertellen veel bendes je na betaling welke kwetsbaarheden je organisatie heeft en krijg je ook nog tips om die te fiksen. Zie het als een securitycheck waar je anders een duurbetaald bedrijf voor moet inschakelen.’
Beiden wijzen erop dat criminelen in de particuliere sector gemakkelijker losgeld betaald krijgen. Bedrijven willen vaak verdere financiële schade door het stilliggen van processen voorkomen, en ook concurrentie- en klantgevoelige informatie beschermen. Hun meegaandheid wordt veelal ingegeven door verzekeraars, die hopen met betaling van criminelen de operationele schade zoveel mogelijk te voorkomen.
‘Desastreus’
Volgens kenners is het probleem voor overheden bovendien dat hun digitale beveiliging te wensen overlaat, terwijl juist zij over veel en gevoelige informatie beschikken. Zo kwamen cybercriminelen in 2020 binnen bij de Overijsselse gemeente Hof van Twente via een nog openstaande digitale toegangspoort en een beheerdersaccount dat alleen werd beveiligd met het oerzwakke wachtwoord: ‘Welkom2020’.
Ook bleken de inrichting en de monitoring van het netwerk ondermaats, en waren de back-ups onvoldoende beveiligd. De Informatiebeveiligingsdienst van de Vereniging van Nederlandse Gemeenten noemde die combinatie van fouten destijds ‘desastreus’.
Privacy-specialist Floor Terra: ‘Als jouw data als gevolg van zulke fouten in handen van criminelen komt, is het heel zuur als de overheid vervolgens principieel zegt: ja maar we gaan niet onderhandelen om te proberen die data terug te krijgen. En als je je dan bedenkt dat er vrijwel geen overheid is die haar beveiliging netjes op orde heeft, of voldoet aan standaarden als de Baseline Informatiebeveiliging Overheid (BIO), kan dit een groot probleem worden.’
In België werden meerdere ziekenhuizen door een aanval getroffen, waardoor duizenden consulten moesten worden afgezegd
Of er bij de gemeente Buren fouten zijn gemaakt, is overigens niet duidelijk. Volgens de gemeente wordt nog onderzocht hoe de aanvallers precies zijn binnengekomen. De anonieme cybersecurity-specialist vreest het ergste: ‘Als je ongemerkt vijf terabyte aan data kunt weghalen, waaronder specifieke, gevoelige bestanden waaraan recent nog door mensen is gewerkt, dan lijkt het erop dat er iets heel ernstig is misgegaan in de beveiliging.’
Gevers: ‘Het is echt veel meer data dan je normaal gesproken in een ransomware-aanval ziet. Het heeft er dus alle schijn van dat in Buren de zaken niet op orde waren.’
De keuze om als overheidsinstelling wel of geen losgeld te betalen, is dus allerminst voor de hand liggend. Hoe erg het uit de hand kan lopen, bleek recent in België. Daar kwam op 20 mei naar buiten dat meerdere ziekenhuizen zijn getroffen door LockBit-ransomware, waardoor duizenden consulten moesten worden afgezegd. De daders claimen 400 gigabyte aan patiëntendata te hebben buitgemaakt en die te publiceren als er niet wordt betaald.

Hoewel zo’n situatie zich in Nederland (nog) niet voordeed, spreekt de Autoriteit Persoonsgegevens in de recente datalekkenrapportage haar zorg uit over een ‘explosieve toename van het aantal meldingen van datalekken veroorzaakt door cyberaanvallen’.
Het aantal meldingen dat voorkomt uit hacks, malware of phishing verdubbelde vorig jaar ten opzichte van 2020, terwijl er in dat jaar al een toename was van 30 procent ten opzichte van 2019. Volgens de toezichthouder betekent dit dat er vorig jaar liefst 2.210 datalekken door cyberaanvallen zijn gemeld, en dat daardoor miljoenen mensen zijn getroffen.
Volgens de Autoriteit was de sector Openbaar Bestuur goed voor 23 procent van alle gemelde datalekken. Dat is met 2.000 meldingen 9 procent meer dan in 2020. De dreiging is daarmee groter dan ooit. Follow the Money vroeg de AP daarom of zij zich – ondanks de kritiek van experts – kan vinden in de harde lijn van de overheid om nooit losgeld te betalen. Of dat er in een situatie waarin zeer gevoelige gegevens zijn buitgemaakt, zoals medische gegevens, ook een andere afweging kan worden gemaakt. Een woordvoerder antwoordt hierop dat de Autoriteit Persoonsgegevens ‘zich niet in deze discussie wil mengen’. Ze verwijst naar het uitgangspunt van de toezichthouder ‘dat criminelen niet te vertrouwen zijn’.
De woordvoerder van het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid laat over het antwoord op die vraag geen misverstand bestaan: ‘Het maakt [..] niet uit wat voor informatie is buitgemaakt. Als een uitzondering zou worden gemaakt voor een bepaalde sector of type buitgemaakte informatie zou dat een aanzuigende werking kunnen hebben op kwaadwillenden en dus juist averechts werken.’
‘Zo werkt het niet’
Experts wijzen erop dat lokale overheden zelf eindverantwoordelijk zijn voor hun digitale beveiliging en dat juist die organisaties, zoals de gemeente Buren, over zeer persoonlijke gegevens beschikken. De anonieme cybersecurity-expert waarschuwt: ‘Je kunt dat niet van kleine gemeenten verwachten. Daar hebben ze de budgetten ook niet voor. Iedere gemeente doet het nu op haar eigen manier. Er moet een concrete standaardisatie plaatsvinden waarbij overheden op één punt veiligheidsproducten afnemen. En dat centrale punt moet er ook voor zorgen dat beveiligingsvoorschriften worden nageleefd. Zoals het nu gaat werkt het niet.’
Nadia Benaissa van privacywaakhond Bits of Freedom valt hem bij: ‘Wij hebben recent onderzoek gedaan naar de naleving van de Algemene verordening gegevensbescherming door de tien grootste gemeenten. We keken ook naar de wijze waarop ze gegevens beveiligen. Dat gaat nog lang niet altijd goed. En hoewel een ransomware-aanval niet altijd uit te sluiten is, kunnen gemeenten veel meer doen om hun beveiliging op orde te krijgen. We vinden het heel ernstig voor burgers, zoals die in Buren, dat hun gegevens door een slechte beveiliging op straat komen te liggen.’
‘Het is een illusie dat je nog iets geheim kan houden, en volkomen terecht dat je criminelen niet betaalt’
Als we bij ons bezoek aan Maurik even doorvragen, gaan sommige inwoners toch twijfelen over de strategie om criminele hackers niet tegemoet te komen.
Een ondernemer zegt dat intieme informatie over schuld- of jeugdhulp zeker niet openbaar mag worden. ‘Dus ja, moet je dan betalen? Ik vind het een heel moeilijke vraag. Ik ben sowieso niet zo blij met al die digitalisering. Het hoort bij deze tijd, vrees ik.’
Een man die zijn hond uitlaat: ‘Het is een illusie te denken dat je nog iets geheim kan houden. En het is volkomen terecht dat je criminelen niet betaalt.’ Een vrouw, eveneens met een hond, geeft hem gelijk. ‘Alhoewel ik me kan voorstellen dat ik er anders tegenaan zou kijken als het informatie is over mij of mijn kinderen.’
65 Bijdragen
Vincent Huijbers 9
Je gaat je hierdoor afvragen welke rol de centrale overheid nog heeft te vervullen. Wat heeft een 'robuuste' overheid nog te besturen als op gemeentelijke schaal de voorwaarden zo verschillen? Zelfs als het gaat om veiligheid.
En wie voelt zich/ is dan nog verantwoordelijk?
j.a. karman 5
Vincent HuijbersDe AP als toezichtshouder faalt door geen handvat te geven wat niet verwijtbaar is.
Iedere gemeente is inderdaad zelf verantwoordelijk voor het eigen bestuur en eigen uitvoering. Daar is niets mis mee.
Sebastiaan Brommersma 2
j.a. karmanDaniel Lopes 1
Sebastiaan BrommersmaVNG gaat dit echter nooit oppakken omdat gemeentes (de eigen ICT afdelingen) dan zelf het initiatief moeten nemen om hun eigen koninkrijkjes gedeeltelijk over te dragen naar een centrale VNG platformbeheerorganisatie. De meerderheid van de mensen zullen op basis van eigen belang altijd meer redenen vinden iets niet te doen als op basis van het algemeen belang iets dergelijks in gang te zetten. Uit de landelijke politiek verwacht ik ook niets omdat je dan veel vijanden moet maken om het algemeen belang te dienen. Jammer maar helaas voor alle toekomstige slachtoffers en verspilde belastingcentjes.
Eveline Bernard 6
Daniel Lopesnou en?
'.. omdat gemeentes (de eigen ICT afdelingen) dan zelf het initiatief moeten nemen om hun eigen koninkrijkjes.. '
nou en?
'.. op basis van eigen belang altijd meer redenen vinden iets niet te doen als op basis van het algemeen belang iets dergelijks in gang te zetten...'
Dommigheid alom.
Daarom hebben we een krachtige centrale overheid nodig. Niet privatisering, niet decentralisatie.
Vincent Huijbers 9
Eveline BernardAan de andere kant lijkt het mij overbodig om software voor generieke gemeentelijke taken door talloze marktpartijen te laten verzorgen. Laat ze een plekje voor het logo inbouwen.
Eveline Bernard 6
Vincent HuijbersVincent Huijbers 9
Eveline BernardHet gebrek aan (oprecht) verantwoording nemen voor problemen bij sommige politici lijkt een indicatie. Ze hebben zichzelf op afstand gezet van het bestuur én de burger. Vandaar de vraag welke rol er nog is weggelegd voor een centrale overheid.
Eveline Bernard 6
Vincent HuijbersVincent Huijbers 9
Eveline BernardHoe verklaar je de groei van consultancy bedrijven of zorgleveranciers? Dat is nogal een apparaat aan deskundigheid waar veel geld naar toe gaat.
De uitvoering lijkt te rammelen omdat dit letterlijk uit handen gegeven is.
j.a. karman 5
Sebastiaan BrommersmaGrootschalige aanpak heeft die neiging
Met de decentralisering kwamen de externe marktpartijen in beeld die het goedkoper sneller en beter zouden doen. Het op afstand zetten is bestuurlijk nog vaak de wens.
Eveline Bernard 6
j.a. karmanEn dat blijkt dus al tientallen jaren niet te werken!
j.a. karman 5
Eveline BernardDat op afstand zetten is omdat er vaak al zoveel anders apeelt dat men geen ict kopzorgen er bij wil.
Speelt overal.
Eveline Bernard 6
j.a. karmanDat is geen excuus.
j.a. karman 5
Eveline BernardHet is een waarneming van wat de gangbare situatie is.
Het meeste wat je uit je handen laat vallen valt naar beneden.
Newton bood geen excuus aan dat de appel niet ver van de boom valt.
Een waarneminv kun ne gebruimen km iets te verbeteren. Ontkenning gaat niet helpen. Root cause analysis
Vincent Huijbers 9
j.a. karmanHet is publiek geld.
Het hele idee is besparen op kosten terwijl in theorie binnen een provincie het geld 20 x voor hetzelfde product is uitgegeven.
Onbegrijpelijk.
j.a. karman 5
Vincent HuijbersDie commerciele partij kan het aan max alle nl gemeentes verhuren.
Vincent Huijbers 9
j.a. karmanHet gaat op zich niet om dat een commerciële partij de software maakt. Maar niet talloze applicaties door talloze partijen voor dezelfde taken.
Denk aan Hix en Epic die voor de meeste ziekenhuizen de EPD leveren en deze organisaties in een soort houtgreep nemen:
https://www.icthealth.nl/nieuws/leveranciers-epd-beperken-betere-uitwisseling-gegevens/
Vincent Huijbers 9
Sebastiaan BrommersmaVincent Huijbers 9
j.a. karmanWaarom faalt het op verschillende gebieden bij de overheid?
Fasciliteert de centrale overheid niet voldoende? Ontbreekt het aan middelen en kennis op lokaal niveau? Als die keuzes voortkomen uit budgettaire redenen (kleine gemeente, geen mensen). Hoe los je dat dan op? Grijp je dan als 'centrale' overheid in?
j.a. karman 5
Vincent HuijbersVoor onderlinge afstemming moeten er wel eenvoudige betrouwbare api's zijn.
Daar gaat wat mis in het tenpo met veranderingen.
Eveline Bernard 6
Vincent HuijbersOmdat er geen goede democratische controle is. Democratie van onderop!
Stefan Vlaminckx 2
Rijbewijzen, creditcards diploma's etc etc. Zelf een huurmoordenaar om je schoonmoeder om te leggen was binnen 10 minuten gevonden
j.a. karman 5
Dat is wat privacyactivisten te vaak beweren maar niet juist is. Een bsn weten is geen bewijs van de juiste persoon. Het geeft aan dat het fout zit op het moment dat er een registratie over een persoon gedaan wordt.
Bij de universiteit maastricht is het verhaal van het "moeten betalen" wonderlijk. Er bleek geen behoorlijke backup te zijn. Dat was intern bekend maar weg gemanaged. Een goede betrouwbare backup is namelijk vrij kostbaar.
‘De kosten om een ransomware-aanval te boven te komen, zijn vaak groter dan het geëiste losgeld’
Dat is vanzelfsprekend omdat de oorzaak "technical debt" in de afhandeling meegenomen wordt.
De eerder ingeboekte bezuinigingen op ict worden als een calamiteit niet anders geboekt. Als schadepost in de brand uit de brand kan op de oude voet verder gegaan worden
"Er moet een concrete standaardisatie plaatsvinden waarbij overheden op één punt veiligheidsproducten afnemen. "
De genoemde BIO is al die standaardisatie op 1 punt. Met verschillende overlegstructuren wordt gepoogd er een eenheid van te maken.
Een enkele centrale ict organisatie is echt geen oplossing.
Bijvoorbeeld Centric als enige commerciële partij.
Deze is wonderlijk: "We keken ook naar de wijze waarop ze gegevens beveiligen.". Een organisatie als bof dje ict audits bij gemeentes doet?
Daar klopt iets niet. Het lijkt er op dat een persoon betrokken bij auditing zijn geheimhoudingsplicht verzaakt heeft.
Voor digitale infirmatie geld dat een kopie technisch makkelijk is. Het is onzinnig om te denken dat je geheimhouding kan bereiken met daarvoor te betalen.
Wat nog ontbreekt is de vermelding dat de grootste toename van datalekken de fysieke papieren informatie betrof. Verkeerd en niet bezorgd zijn datlekken.
Dat maakt een overdenking nuancering in aard en gevolgen hoogst noodzakelijk.
Petrus Harts 3
j.a. karmanFysieke documenten lekken ook, maar dat gaat niet in 'n batch van tienduizenden tegelijk en zijn daarmee veel minder bedreigend.
Sebastiaan Brommersma 2
Petrus HartsPetrus Harts 3
Sebastiaan Brommersmaj.a. karman 5
Petrus HartsEveline Bernard 6
j.a. karmanDat is wartaal
j.a. karman 5
Eveline BernardHet is kletskoek om te beweren dat zoiets acceptabel is. De wettelijke verplichting is om vat te stellen dat het om de juiste persoon gaat.
Dat je de genoemde foute handeling niet eens herkent is echt schokkend.
Het wordt wel begrijpelijk hoe eenvoudig fraude dan wordt met escalaties zoals de toeslagenaffaire (aanvragen naar nader op te geven bankrekening)
Eveline Bernard 6
j.a. karmanPetrus Harts 3
j.a. karmanj.a. karman 5
Petrus HartsElke financiele instelling is verplicht via KYC zijn klant te kennen, fiscale rsin / bsn gekoppelde gegevens door te geven.
Dat het zich voordoen soms lukt is fout, dat geef je toe. Laat het financiele risico met schade dan bin de financiele instelling liggen. Gebrekkige dan wel verwijtbaar ontbreken van gedegen controle is een bedrijfsrisico. Verhalen naar klanten is in dat geval onbehoorlijk.
Je ziet (psd2 gevolg?) Een verschuiving naar zelf laten over whale fishing, whatsapp fraude. Zelfde soort probleem als het lukt.
De flitsbetaling heeft bij die fraude meegeholpen aan het succes.
Ooit werden betalingen per dag of minder vaak verwerkt. (Clearing)
Vincent Huijbers 9
j.a. karmanOké, één organisatie die het systeem beheert kan onbeheersbaar worden. Maar er kunnen bij grote gemeenten mensen in dienst zijn die dat 'in huis' doen terwijl de kleinere gemeenten wel aanspraak kunnen maken op een centrale organisatie.
En waarom niet één standaard systeem? Het zijn dezelfde taken die - waarvan we mogen aannemen - in iedere gemeente op een zelfde manier uitgevoerd worden. Er kunnen lokale verschillen zijn die gemakkelijk met modules o.i.d. toegevoegd kunnen worden.
Een overheid hoeft niet te concurreren dus begrijp niet goed waarom de infrastructuur niet door een organsisatie gemaakt, geleverd en beheerd kan worden? Het bespaart bovendien op de kosten.
Ik begrijp dat er de mogelijkheid moet zijn om innovatie toe te laten maar een wildgroei van applicaties lijkt mij alleen maar voor ruis op de lijn te zorgen.
j.a. karman 5
Vincent HuijbersIk denk dat er nu veel te veel advies zbo en uitvoerende organisaties in het veld actief zijn. Logius is beleid adviesgevend met normmen en met digid zijn ze uitvoerend.
Uitvoerend maar weer wel beperkt want infra is buiten de deur gezet.
Brp zou centraal worden en gba vervangen. Gba is mgba geworden en vervolgens brp genoemd. Rvim is aan adreskwaliteit gaan werken ofwel onderzoek profilering van niet logische gecallen. Een herbouw brp starten ligt politiek gevoelig na het recente debacle.
Ik deel je waarom vraag, het is niet logisch
j.a. karman 5
Zodra het over wobs gaat wil men elke notitie actie naam en toenaam weten ongeacht of het een privacy inbreuk is.
Als er bij de journalistiek zelf geen beeld is wat ethisch verantwoord is en wat niet dan wordt het enkel ophef om de ophef door gebrek aan inzicht geen uitzicht op iets acceptabel werkbaar iets.
Henk Willem Smits 2
j.a. karmanj.a. karman 5
Henk Willem SmitsBij verplaatsingsgegeven telco geanonimiseerd zou alles beeidbaar tot de persoon zijn (klopt niet). De betrokkenheid van cbs, daar zou wel meer vraagtekens bij mogen. Het is complexer.
Petrus Harts 3
j.a. karmanj.a. karman 5
Petrus HartsPetrus Harts 3
Dank. Echt goed.
PS: over drie jaar kun je in de blockchain opzoeken hoe betrouwbaar de organisatie die jouw data heeft gegijzeld is als het gaat om:
* Alles teruggeven;
* Netjes alles wissen;
* Hulp bij het dichten van extra lekken.
Als ze dan slecht scoren betaal je niet, en als alles 5 sterren is, betaal je wel.
#ditismaareenhalvegrap
Henk Willem Smits 2
Petrus HartsRenee van Aller 5
Peter Tetteroo 2
Wederom de Overheid faalt: Vertrouwen overheid 17% Teflon Mark 20% Een vandaag 20220601. Hoeveel signalen zijn er nodig voordat je in de smiezen krijgt dat je op moet stappen een een "funktie elders" wordt gewenst door het volk voor de "Dienaren van het volk". De BIO is niet in orde en daar moet met man en macht aangewerkt worden, maar ja 220 miljoen aan aandelen KLM kopen gaat voor want dat is voor de Bühne ..
Floor Terra
Peter Tetterooj.a. karman 5
Floor TerraDe huidige situatie van schuldig verklaring als er wat mis gaat is niet echt werkbaar.
Karolijne Bauland 8
Peter TetterooFloor Terra
Sebastiaan Brommersma 2
Floor TerraFloor Terra
Sebastiaan BrommersmaHoewel ik van geval tot geval de afwegingen rondom afpersing ingewikkeld vind en per definitie niet geheel vrijwillig vind ik extra dwang aan weerskanten van de keuze onredelijk. Een afdwingbare verplichting om losgeld te betalen is onwenselijk net als dat je slachtoffers die bezwijken onder de druk van criminelen gaat bestraffen als je een verbod op betalen gaat invoeren.
De AP gaat echter maar over één kant van die afweging: is het betalen van losgeld onder de AVG een verplichting? De rest van de afwegingen valt buiten de taak van de AP.
Sebastiaan Brommersma 2
Floor Terraj.a. karman 5
Sebastiaan BrommersmaIk denk ook niet de AP in staat is een vorm van normen wat toegestaan is uit te werken en bij te houden. Zoiets zou wel op zijn plaats zijn. In het geval van sfrafrecht is afdreiging en afpersing lastig.
Theo van Beuningen 4
Eveline Bernard 6
Wat kan lekken moet je niet vertrouwen.
j.a. karman 5
Eveline BernardOm alle overbeidstaken te laten vallen omdat gegevens zouden kunnen lekken is disproportioneel. Je hanteert de afdreiging van dd hackers.
Eveline Bernard 6
j.a. karmanDe wet op de BRP basisregistratie personen stelt zeer beperkte eisen aan wat er vastgelegd moet zijn. Medische en financiële gegevens horen daar niet bij.
Sebastiaan Brommersma 2
Eveline BernardEveline Bernard 6
Sebastiaan BrommersmaZelfs de deskundigheid om de competenties van ingehuurd personeel te beoordelen ontbreekt. Uitbesteed.. dat werkt dus niet.
squarejaw 5
Vincent Huijbers 9
squarejawsquarejaw 5
Vincent HuijbersSebastiaan Brommersma 2
squarejawsquarejaw 5
Sebastiaan Brommersmaj.a. karman 5
squarejawOpenbaarheid van raadsvergaderingen is niet iets waar je iver schade praat. Ze horen ooenbaar.
Bsn is iets als naw, hier slaan privacy activisten door alles als schade te zien.
Het rare is dat op velw plekken als verplicht gegeven oogenomen is.
Het waarschuwen voor een stalker werd ook al lrivacyinbreuk neergezet.
Walter Boer 3